Professional Documents
Culture Documents
IT Risk Power Point
IT Risk Power Point
BÖLÜM 2
Bilgi Teknolojileri Ortamında Riskler ve Olası Etkiler
Kağan Temel
CISA, ISO27001LA
27.5.2016 www.tebit.com.tr 1
BT Süreçleri
27.5.2016 www.tebit.com.tr 3
Anahtar Risk Göstergesi
Anahtar Risk Göstergesi, risklerin kurumun daha önceden belirlenmiş risk iştahı
seviyesini aşmaması için (risk gerçekleşmeden önce) izlenmesini sağlayacak ölçüm yöntemleridir.
Her bir risk için KRI tanımlamak mümkün değildir. KRI belirleyebilmek için,
• Etkisi yüksek olacak riskleri dikkate almak
• KRI tanımlanması, ölçme ve raporlaması için harcanacak kaynağı dikkate almak
• Tanımlanacak KRI’ ın hassasiyet ve güvenilirlik seviyesini dikkate almak gerekmektedir.
KRI belirlemenin,
• Risk gerçekleşmeden önce haberdar olma
• Risk ile ilgili geçmişe dönük analiz yapabilme
• Risk iştahı ve risk toleransının belirlenmesine katkı sağlama
• Risk yönetiminin daha iyi yapılamasına ve hedeflerin başarılmasına katkı sağlama
gibi faydaları olacaktır.
27.5.2016 www.tebit.com.tr 4
Anahtar Risk Göstergesi
Örnek KRI
27.5.2016 www.tebit.com.tr 5
Doğru Risk İfadesi Yazmak
1. Ne olabilir?
2. Neden olabilir?
3. Neden bunu önemsiyoruz?
Örnek Risk ifadesi:
(Hedefler üzerinde etkisi olan bir olay) neden olabilir/neden
olur(herhangi bir aksaklık,kesinti vb) bunun sonucunda da (…
etkileri olur)
27.5.2016 www.tebit.com.tr 6
Risk Yanıt Dökumanı
Risk tanımı
Uygulama Parametre tanımlama ekranına yetkisiz erişim
27.5.2016 www.tebit.com.tr 7
Risk Analizi Metodolojisi
Süreçleri belirle
Risklerin doğal
Risk haritası ve
risk sevilerini
önceliklendirme
belirle
Azaltıcı
Artık riskleri
faktörleri
belirle
değerlendir
27.5.2016 www.tebit.com.tr 8
Risk Analiz Metodları
27.5.2016 www.tebit.com.tr 9
Risk Yönetimi-Kaynaklar
27.5.2016 www.tebit.com.tr 10
Risk analizi ve risk yanıtı süreci
Mevzuat, Tüme
süreçler varım
Risk envanteri,
risk
Tümden
gelim
Risk Analizi
senaryoları
Risk Belirleme
Risk seviyesi
Risk Yanıtı Fayda/maliyet oranı
27.5.2016 www.tebit.com.tr 11
Risk Etki Matrisi Şablonu
4 1.000.000-10.000.000
Kamuoyunda Ciddi Hukuki yaptırımlara
24 saatten fazla ve ülke düzeltilmesi çok zor neden olabilecek
5 10.000.000 TL den fazla genelinde kesinti olumsuz imaj uygunsuzluk
27.5.2016 www.tebit.com.tr 12
Risk Olasılık Matrisi Şablonu
Puan Olasılık
1 Yılda 1 kez veya daha az
3 Haftada 1-2
4 Günde 1-2
27.5.2016 www.tebit.com.tr 13
Risk Puanlama Şablonu
27.5.2016 www.tebit.com.tr 14
ISO27001 BGYS(Bilgi Güvenliği
Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 15
ISO27001 BGYS(Bilgi Güvenliği
Yönetim Sistemi)
Denetim öncesi yapılacaklar
27.5.2016 www.tebit.com.tr 16
ISO27001 BGYS(Bilgi Güvenliği
Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 17
ISO27001 BGYS(Bilgi Güvenliği
Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 18
ISO27001 BGYS(Bilgi Güvenliği
Yönetim Sistemi)
Eğitim faaliyetlerinin denetimi
Farkındalık eğitiminin yapılması
Eğitim kanıtları( katılım kayıtları, eğitim dokumanı
vb.)
Bilgi varlık envanteri 27001:2013 versiyonu gereksinimleri ve varlık sınıfları,
gizlilik, bütünlük, erişilebilirlik, tehdit, açıklık kriterlerine göre varlığı ve
içeriği denetlenmelidir.
27.5.2016 www.tebit.com.tr 19
ISO27001 BGYS(Bilgi Güvenliği
Yönetim Sistemi)
Örnek ISO 27001 iç denetim alanları
• İnsan Kaynakları Güvenliği
• Internet ve Intranet Kaynaklarının Kullanımı
• İş Ortakları Hizmet Sağlama
• Kullanımı Tanıma Yetkilendirme
• Risk Yönetimi
• Veri Şifreleme Uygulamaları
• Veri Yedekleme
• Yazılım Değişikliği Yönetimi
• Yazılım Edinme ve Çoğaltma
• Zararlı Yazılımlardan Korunma
• Ağ ve Sistemlerin Güvenli İşletimi
• Bilgi Güvenliği Testleri Uygulama
• BGYS Yönetişim ve İşletim Modeli
• Bilgi Güvenliği Sürekliliği
• Bilgi İçeren Taşınabilir Cihazların Kullanımı
• Bilgi İşleme
• Bilgi Varlıklarının Yönetimi
• Donanım Değişikliklerinin Uygulanması
• Fikri Mülkiyet Haklarının Korunması
• Fiziksel Güvenlik
• Güvenlik İhlalleri Bildirimi ve Müdahalesi
• İlgili Yasa ve Düzenlemelerine Uyum
27.5.2016 www.tebit.com.tr 20
BT DENETİMİ
BT Risk kaynakları
• Yeterli düzeyde kontrol edilmeyen BT projeleri ve BT harcamaları
• İş ve BT stratejileri arasındaki eşgüdüm sorunları
• Yetersiz BT işlem kapasitesi, performans sorunları
• Veri ve programlara yetkisiz erişim
• Donanım ve yazılım hataları
• Programcı, operatör, vb. teknik personel hataları
• Son kullanıcı hataları
• Doğal felaketler, yangın, su basması, enerji problemleri, vb.
• Sabotaj, terör hareketleri, vb.
• BT iç kontrol ve iç denetim faaliyetlerinin yetersizliği
• Yasalara, standartlara ya da kurumun iç politikalarına uyumsuzluk
27.5.2016 www.tebit.com.tr 21
Örnek Riskler
BT RİSKLERİ
Veritabanına
Veritabanı yetkisiz erişimler
Bilgi İşlem Daire
Yönetimi ve ve yetersiz
Başkanlığı
Güvenliği veritabanı
performansı
27.5.2016 www.tebit.com.tr 22
Örnek Riskler
BT RİSKLERİ
Veritabanlarında aktif
durumda olan firma
kullanıcılarının
Bilgi İşlem Daire Veritabanı Yönetimi ve
bulunması. Firma
Başkanlığı Güvenliği
kullanıcıları gizli bilgileri
görebilir, silip, değişiklik
yapabilirler.
27.5.2016 www.tebit.com.tr 23
Örnek Riskler
BT RİSKLERİ
Veritabanlarında birden
fazla kişinin kullanabildiği
ortak kullanıcılarının
Bilgi İşlem Daire Veritabanı Yönetimi ve
bulunması.Usulsüz
Başkanlığı Güvenliği
işlemlerin hangi kullanıcı
tarafından yapıldığının
tespit edilememesi
27.5.2016 www.tebit.com.tr 24
Örnek Riskler
BT RİSKLERİ
kullanıcılara gereğinden
fazla rol ve yetkiler
Bilgi İşlem Daire Veritabanı Yönetimi ve verilmesi. Yetkisi dışında
Başkanlığı Güvenliği veri silme, değiştirme,
veritabanından kritik
bilgilerin çekilmesi
27.5.2016 www.tebit.com.tr 25
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 26
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 27
Örnek Riskler
BT RİSKLERİ
BT Test, Sürüm
Bilgi İşlem Uygulama
ve
Daire öncesi yetersiz
Yaygınlaştırma
Başkanlığı test
Yönetimi
27.5.2016 www.tebit.com.tr 28
Örnek Riskler
BT RİSKLERİ
Standart bir
BT Değişiklik &
Bilgi İşlem Daire değişiklik yönetimi
Konfigürasyon
Başkanlığı prosedürünün
Yönetimi
olmaması
27.5.2016 www.tebit.com.tr 29
Örnek Riskler
BT RİSKLERİ
BT Değişiklik &
Bilgi İşlem Daire Değişikliklerin yanlış
Konfigürasyon
Başkanlığı önceliklendirilmesi
Yönetimi
27.5.2016 www.tebit.com.tr 30
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 31
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 32
Örnek Riskler
BT RİSKLERİ
Değişiklik sonrası
BT Değişiklik &
Bilgi İşlem Daire ilgili sistem
Konfigürasyon
Başkanlığı dokumanlarının
Yönetimi
guncellenmemesi
27.5.2016 www.tebit.com.tr 33
Örnek Riskler
BT RİSKLERİ
Veri kurtarma
Bilgi İşlem
BT Servis işleminin
Daire
Sürekliliği yetersiz
Başkanlığı
yapılması
27.5.2016 www.tebit.com.tr 34
Örnek Riskler
BT RİSKLERİ
Kritik
Bilgi İşlem Daire BT Servis
kaynakların
Başkanlığı Sürekliliği
kullanılamaması
27.5.2016 www.tebit.com.tr 35
Örnek Riskler
BT RİSKLERİ
Felaketten
kurtarma
Bilgi İşlem Daire BT Servis
merkezindeki
Başkanlığı Sürekliliği
kritik verilerin
arşivlenmemesi
27.5.2016 www.tebit.com.tr 36
Örnek Riskler
BT RİSKLERİ
Felaketten
kurtarma
Bilgi İşlem Daire BT Servis
merkezindeki
Başkanlığı Sürekliliği
kritik verilerin
arşivlenmemesi
27.5.2016 www.tebit.com.tr 37
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 38
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 39
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 40
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 41
Örnek Riskler
BT RİSKLERİ
Ağ
Bilgi İşlem BT Bilgi
kaynaklarına
Daire Güvenliği
yetkisiz erişim
Başkanlığı Yönetimi
sağlanması
27.5.2016 www.tebit.com.tr 42
Örnek Riskler
BT RİSKLERİ
Yetersiz ağ
performansı, ağın
Bilgi İşlem Daire BT Bilgi Güvenliği
erişilebilirliği ve ağ
Başkanlığı Yönetimi
kaynaklarının
izlenmemesi
27.5.2016 www.tebit.com.tr 43
Örnek Riskler
BT RİSKLERİ
Problemlerin
Bilgi İşlem
BT Problem zamanında
Daire
Yönetimi tespit ve eskale
Başkanlığı
edilememesi
27.5.2016 www.tebit.com.tr 44
Örnek Riskler
BT RİSKLERİ
Olay sonrası
problemler için
Bilgi İşlem Daire BT Problem
zamanında
Başkanlığı Yönetimi
aksiyon
alınamaması
27.5.2016 www.tebit.com.tr 45
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 46
Örnek Riskler
BT RİSKLERİ
Süreç
Bilgi İşlem BT Süreçleri
performans
Daire Kalite
ölçümünün
Başkanlığı Yönetimi
yapılamaması
27.5.2016 www.tebit.com.tr 47
Örnek Riskler
BT RİSKLERİ
Performans
Bilgi İşlem BT Süreçleri
beklentilerinin
Daire Kalite
sağlıklı
Başkanlığı Yönetimi
iletilmemesi
27.5.2016 www.tebit.com.tr 48
Örnek Riskler
BT RİSKLERİ
Temel
Bilgi İşlem
BT Süreçleri performans
Daire
Kalite Yönetimi göstergelerinin
Başkanlığı
eksikliği
27.5.2016 www.tebit.com.tr 49
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 50
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 51
Örnek Riskler
BT RİSKLERİ
Risk önem
seviyelerine göre
Bilgi İşlem Daire BT Kayıt, Olay ve alarm türleri ve
Başkanlığı Alarm Yönetimi seviyelerinin uygun
bir şekilde
sınıflandırılmaması
27.5.2016 www.tebit.com.tr 52
Örnek Riskler
BT RİSKLERİ
BT olaylarının
Bilgi İşlem Daire önemlerine
BT Yardım Masası
Başkanlığı uygun kategorize
edilmemesi
27.5.2016 www.tebit.com.tr 53
Örnek Riskler
BT RİSKLERİ
Zamanında problem
çözümünün
Bilgi İşlem Daire sağlanması için
BT Yardım Masası
Başkanlığı gerekli performans
ölçüm uygulamasının
eksikliği
27.5.2016 www.tebit.com.tr 54
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 55
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 56
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 57
Örnek Riskler
BT RİSKLERİ
Kapasite
Bilgi İşlem Daire darboğazlarının
BT Kapasite Yönetimi
Başkanlığı öngörülememesinden
dolayı hizmet kesintisi
27.5.2016 www.tebit.com.tr 58
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 59
Örnek Riskler
BT RİSKLERİ
İş gereksinimlerine
Bilgi İşlem Daire BT Uygulamaları uygun bir tasarım
Başkanlığı Geliştirme dokümanın
hazırlanmaması
27.5.2016 www.tebit.com.tr 60
Örnek Riskler
BT RİSKLERİ
Tasarım
Bilgi İşlem Daire BT Uygulamaları dokümanına
Başkanlığı Geliştirme uygun geliştirme
yapılamaması
27.5.2016 www.tebit.com.tr 61
Örnek Riskler
BT RİSKLERİ
Uygulama
Bilgi İşlem Daire BT Uygulamaları geliştirmelerinin
Başkanlığı Geliştirme zamanında
yapılamaması
27.5.2016 www.tebit.com.tr 62
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 63
Örnek Riskler
BT RİSKLERİ
Veri modeli ve
Bilgi İşlem Daire Veri Ambarı & İş
veri mimarisinin
Başkanlığı Zekası Yönetimi
doğru olmaması
27.5.2016 www.tebit.com.tr 64
Örnek Riskler
BT RİSKLERİ
Raporların
Bilgi İşlem Daire Veri Ambarı & İş zamanında ve
Başkanlığı Zekası Yönetimi doğru bir şekilde
üretilememesi
27.5.2016 www.tebit.com.tr 65
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 66
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 67
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 68
Örnek Riskler
BT RİSKLERİ
Yeni şifrelerin
kullanıcılara telefonla
Bilgi İşlem Daire bildirilmesi, şifrelerin
Operasyon
Başkanlığı ilgisiz kişilere ulaşması
ve sistemlere yetkisiz
erişim
27.5.2016 www.tebit.com.tr 69
Örnek Riskler
BT RİSKLERİ
Lisanssız ve
Bilgi İşlem
Konfigürasyon uygun olmayan
Daire
Yönetimi yazılım
Başkanlığı
kullanımı
27.5.2016 www.tebit.com.tr 70
Örnek Riskler
BT RİSKLERİ
IP adres
Bilgi İşlem
planlaması ve
Daire Ağ Yönetimi
IP dağıtımının
Başkanlığı
yapılmaması
27.5.2016 www.tebit.com.tr 71
Örnek Riskler
BT RİSKLERİ
IP adres kulanıcı
eşleştirmesinin
yapılmaması-yasal takip
Bilgi İşlem Daire Başkanlığı Ağ Yönetimi veya inceleme durumunda
hangi IP den işlemin kim
tarafından yapıldığının
tespit edilememesi
27.5.2016 www.tebit.com.tr 72
Örnek Riskler
BT RİSKLERİ
Kablosuz ağ erişim
noktalarında düşük
sevide güvenlik
Bilgi İşlem Daire
Ağ Yönetimi uygulanması-kablosuz ağ
Başkanlığı
üzerinden yerel alan ağ
kaynalarına yetkisiz
erişimlerin yapılabilmesi
27.5.2016 www.tebit.com.tr 73
Örnek Riskler
BT RİSKLERİ
Ağ altyapısındaki
cihazların yedeksiz
Bilgi İşlem Daire olarak çalışması-
Ağ Yönetimi
Başkanlığı problem durumunda
sistem kesintisi
süresini artıracaktır.
27.5.2016 www.tebit.com.tr 74
Örnek Riskler
BT RİSKLERİ
Sistem Yöneticisi
rolunun çok fazla
Bilgi İşlem Daire
Kullanıcı Yönetimi yada gereğinden
Başkanlığı
fazla kişiye
verilmiş olması
27.5.2016 www.tebit.com.tr 75
Örnek Riskler
BT RİSKLERİ
Kullanıcılara
Bilgi İşlem
Kullanıcı gereğinden
Daire
Yönetimi fazla yetki
Başkanlığı
tanımlanması
27.5.2016 www.tebit.com.tr 76
Örnek Riskler
BT RİSKLERİ
Sunucularda
yüksek yetkili
Bilgi İşlem Daire Sunucu işletimi ve
kullanıcılarla (root)
Başkanlığı güvenliği
işlemlerin
yapılması
27.5.2016 www.tebit.com.tr 77
Örnek Riskler
BT RİSKLERİ
Sunucularda
tanımlı
Bilgi İşlem Daire Sunucu işletimi ve
kullanıcıların onay
Başkanlığı güvenliği
sürecinden
geçmemiş olması
27.5.2016 www.tebit.com.tr 78
Örnek Riskler
BT RİSKLERİ
Sunucularda
Bilgi İşlem Sunucu
onaysız
Daire işletimi ve
scriptlerin
Başkanlığı güvenliği
çalışması
27.5.2016 www.tebit.com.tr 79
Örnek Riskler
BT RİSKLERİ
Yüksek yetkili
kullanıcı işlemlerinin
Bilgi İşlem Daire Sunucu işletimi ve
ve kritik komutların
Başkanlığı güvenliği
log kayıtlarının
tutulmaması
27.5.2016 www.tebit.com.tr 80
Örnek Riskler
BT RİSKLERİ
Sunucular için
Bilgi İşlem Daire Sunucu işletimi standart bir şifre
Başkanlığı ve güvenliği politikasının
bulunmaması
27.5.2016 www.tebit.com.tr 81
Örnek Riskler
BT RİSKLERİ
Sunucularda
uzaktan bağlantı
Bilgi İşlem Daire Sunucu işletimi ve
sağlayacak
Başkanlığı güvenliği
servislerin açık
olması
27.5.2016 www.tebit.com.tr 82
Örnek Riskler
BT RİSKLERİ
Sunucu log
Bilgi İşlem Sunucu
kayıtlarının
Daire işletimi ve
değiştirilebilir
Başkanlığı güvenliği
olması
27.5.2016 www.tebit.com.tr 83
Örnek Riskler
BT RİSKLERİ
Sunucu işletim
Bilgi İşlem Sunucu
sistemlerinde
Daire işletimi ve
onaysız yama
Başkanlığı güvenliği
uygulanması
27.5.2016 www.tebit.com.tr 84
Örnek Riskler
BT RİSKLERİ
Sunucuların hizmet
seviyelerinin ve
Bilgi İşlem Daire Sunucu işletimi ve
peformans
Başkanlığı güvenliği
göstergelerinin
belirlenmemiş olması
27.5.2016 www.tebit.com.tr 85
Örnek Riskler
BT RİSKLERİ
Sunucuların
yedeklenmemesi
Bilgi İşlem Daire Sunucu işletimi ve
veya yedeklerin
Başkanlığı güvenliği
düzenli olarak test
edilmemesi
27.5.2016 www.tebit.com.tr 86
Örnek Riskler
BT RİSKLERİ
Veritabanlarında
tanımlı kurum dışı(
Bilgi İşlem Daire Veritabanı işletimi ve tedarikçi)
Başkanlığı güvenliği kullanıcılarının
işlemlerinin takip
edilmemesi
27.5.2016 www.tebit.com.tr 87
TEŞEKKÜRLER
Kağan Temel
CISA,ISO27001LA
Kaan.temel@tebit.com.tr
0 533 164 48 89
TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti.
27.5.2016 www.tebit.com.tr 88